openclaw多节点访问 Gateway 的方法

1. Gateway 端配置
网络绑定：若节点通过局域网访问，Gateway 需绑定到 LAN 接口（gateway.bind: “lan” 或指定 IP），不能仅绑定到 loopback（127.0.0.1）。若通过 SSH 隧道或 Tailscale 等 VPN 访问，Gateway 可保持 loopback 绑定，因为流量会转发到本地。

认证：推荐使用 Token 认证。在 gateway.auth 中设置 mode: “token” 并配置 token。确保 Token 与节点端一致。

2. 节点端配置与安装
安装节点服务：

使用 openclaw node install 安装节点后台服务。

注意：在 Linux 上，该命令可能错误地尝试启用 openclaw-gateway.service 而非 openclaw-node.service（#13642, #4832）。可手动创建 systemd 服务或等待修复。

在 macOS 上，节点作为 LaunchAgent 安装，生成 ~/Library/LaunchAgents/ai.openclaw.node.plist。

Headless 服务器（如 EC2）：需启用 systemd user lingering 以确保用户服务在无登录会话时运行：

bash
sudo loginctl enable-linger $USER

运行节点：

bash
openclaw node run --host --port [–token ]
若节点与 Gateway 在同一机器，使用 --host 127.0.0.1。

Token 也可通过配置文件 ~/.openclaw/node.json 或环境变量 OPENCLAW_GATEWAY_TOKEN 提供。

3. 配对流程
节点首次连接时，Gateway 会发送一个 connect.challenge，节点用本地生成的设备私钥签名后返回 connect 请求，从而创建配对请求。

管理员在 Gateway 上查看待批准节点：

bash
openclaw nodes pending
批准节点：

bash
openclaw nodes approve
批准后，节点即可自动连接，无需重复配对。

5. 最佳实践
网络隔离：生产环境建议使用 VPN（如 Tailscale）或 SSH 隧道加密节点与 Gateway 的通信。

认证：始终启用 Token 认证，并避免在配置文件中硬编码 Token，使用环境变量注入。

版本更新：定期升级 OpenClaw 以获取配对和连接方面的修复。

监控：定期检查 openclaw nodes list 确认节点在线状态，并监控 Gateway 日志中的连接错误。

Docker 部署：若使用 Docker，推荐让 CLI 容器与 Gateway 容器共享网络命名空间，简化连接。

Headless 服务器：务必启用 systemd user lingering。